XSS에 대한 첫 번째 방어선으로 정규식을 가졌습니다.XSS에 대한 첫 번째 방어선 인 Regex
실제로는 Kohana 2.3입니다.
이것은 공용 입력 텍스트 (HTML이 없음)에서 실행되며이 테스트에 실패하면 입력을 거부합니다. 텍스트는 항상 htmlspecialchars()
(또는 더 구체적으로는 Kohana's flavour으로 표시되며, 다른 것들 사이에서 문자 집합을 추가합니다). 나는 또한 출력에 strip_tags()
을 넣었다.
클라이언트가 괄호가있는 텍스트를 입력하려고 할 때 문제가 발생했습니다. 도우미를 수정하거나 연장하는 방법에 대해 생각해 보았지만 이중 따옴표를 허용하면 실제로 유효성을 검사해야하는 이유가 있습니까?
출력에서 이스케이프에만 의존 할 수 있습니까?